疫情中的安全隐患:移动应用程序安全现状

疫情中的安全隐患：移动应用程序安全现状 对新冠疫情期间最受欢迎的Android应用程序进行的安全分析 概述 Synopsys网络安全研究中心（CyRC）分析了3,000多个最受欢迎的Android应用，以评估新冠疫情爆发期间移动应用的安全状态。该研究针对18个类别中下载量最大、收入最高的应用程序，其中许多在疫情期间均呈现出爆炸式增长。该研究集中在移动应用安全性的三个核心领域： •漏洞：应用程序的开源组件中存在已知软件漏洞 •信息泄漏：应用程序代码中暴露的私钥、令牌和密码等敏感数据 •移动设备权限：要求过度访问移动设备数据和功能的应用程序 分析显示，大多数的应用中都包含具有已知安全漏洞的开源组件。分析还特别指出了其他普遍存在的安全问题，包括应用程序代码中大量的敏感数据潜在暴露以及过度的移动设备权限的使用。 对消费者而言，该报告指出了一个令人震惊的事实：即使最受欢迎的移动应用也无法幸免于安全和隐私方面的弱点，因此不应被默认为是可信的。对应用开发者而言，该报告强调了对安全软件开发实践以及更好的全面的隐私和安全保护实践的迫切需求。 分析了3,335个移动应用程序63%的应用程序中包含已 知安全漏洞 疫情期间最受欢迎的18类应用程序，包括游戏、教育、银行业务以及健康与健身 •每个应用程序平均39个漏洞 •44%的漏洞被认为是高风险的 •94%的漏洞已有公开报道的修复程序/方案 •73%的漏洞是两年前就已经首次披露 在应用代码中数千条敏感数据被暴露 移动设备权限的过度使用 •密码、令牌和密钥：2224 •电子邮件地址：10863 •IP地址和URL:392795 •普通权限：33,385 •敏感权限：15,139 •非第三方使用的权限：10,653 目录 疫情中的安全隐患：移动应用程序安全现状1 做什么：移动应用程序的针对性分析3 如何做：Synopsys业界领先的BlackDuckBinaryAnalysis3 结果：Synopsys发现了什么4 开源漏洞调查结果4 已知漏洞4 按应用类别划分的调查结果5 分析漏洞6 借助《BlackDuck安全公告》深入探究安全漏洞7 有实际可利用风险的漏洞8 具体的开源漏洞调查结果9 信息泄漏调查结果10 移动权限调查结果11 总结15 |synopsys.com|1 疫情中的安全隐患：移动应用程序安全现状 在这个充满挑战的时期，保持社交距离以及封锁带来的限制导致世界以令人瞩目的方式往线上转移，这也许会永久性地改变我们的工作、学习和交流互动的方式。社会快速适应了这种情况，开始在线上提供之前一直仅在线下可用的资源，从而导致愈发依赖移动应用程序开展日常活动的文化。 最受欢迎的移动应用是否足够安全，或者它们是否最容易受到攻击？ 在确定应用程序可访问的设备权限和数据时，应用开发人员是否会优先考虑安全性和隐私问题？ 透过新冠疫情的镜头，Synopsys网络安全研究中心（CyRC）开始探索在这个日益由应用程序驱动的世界中，应用程序的安全状况到底如何。该分析主要围绕着两个关键问题展开： “随着新冠疫情的爆发继续对世界产生影响，移动应用程序的下载、使用和营收在2020年第二季度 均创下历史新高。根据应用商店情报公司AppAnnie 的最新数据，2020年第二季度，移动应用程序的使用量同比增长了40%。”1 无论您是移动应用程序的用户还是开发者，抑或既是用户又是开发者，您都必须了解当您将生活或业务从线下转移到线上时，所需承受的相对风险，这一点很重要。Synopsys软件组成分析（SCA）工具BlackDuck®BinaryAnalysis可对最受欢迎的移动应用程序进行全面分析，以便您全方位了解在这个崭新、远程生活时代所面临的潜在风险、影响和危害。 |synopsys.com|2 CyRC分析了截至2021年第一季度GooglePlay商店中最受欢迎的3,335个免费和付费Android应用程序。 扫描的应用程序数量（按类别） 每个应用程序平均的开源组件数量（按类别） 商业、健康与健身以及教育类应用的下载量分别比上一季度增长了115%、75%和50%。2 做什么：移动应用程序的针对性分析 为了考察移动应用程序安全性的“新冠病毒状态”，CyRC分析了截至2021年第一季度GooglePlay商店中最受欢迎的3,335个免费和付费Android应用。它们都是因疫情爆发而经历了显著增长的应用，涵盖教育、娱乐、游戏、健康与健身、餐饮、生产限制和教辅工具等多个类别。 CyRC利用业界领先的专业知识、技术和资源来帮助分享软件安全知识与最佳实践。针对三个主要领域的潜在安全风险，CyRC团队使用BlackDuck扫描并分析这些最受欢迎的应用程序： •开源安全漏洞：您每天使用的应用程序的开源组件中是否隐藏着已知安全漏洞？ •潜在的信息泄漏实例：应用开发人员是否无意间将密码、电子邮件地址或AWS和Google云密钥等敏感数据暴露在编译后的应用程序中？ •移动权限：应用程序需要从设备中获得哪些权限？是否超出必要权限？或者说，是否存在若使用不当将会破坏数据的权限？ 如何做：Synopsys业界领先的 BlackDuckBinaryAnalysis 为了进行可靠的调查，CyRC使用BlackDuck工具的独特功能-BlackDuckBinaryAnalysis分析了与每个应用程序关联的Android软件包中所包含的开源软件组件和其它内容。鉴于BlackDuck对应用程序的已编译的二进制文件（而不是源代码）进行分析，因此，它可以扫描几乎任何软件，从桌面和移动应用程序直到嵌入式系统固件。 BlackDuck不仅能够识别开源并将漏洞和许可证与其进行匹配，而且还能指出敏感信息的潜在风险，例如可能影响应用程序安全性信息泄漏和移动权限。 |synopsys.com|3 |synopsys.com|4 结果：Synopsys发现了什么 CyRC共分析了3,335个应用，发现了一些与这些应用程序的开发者、其公司和用户有关的值得注意的风险。无论您是用户还是开发者（抑或既是用户又是开发者），分析结果揭示了哪些因素会影响正在开发和使用的应用程序安全性。 开源漏洞调查结果 总体而言，被扫描应用程序中98%的应用程序有包含开源组件。这个数字与Synopsys的其它调查研究相一致，再次证实了大家一致认可的一个整体趋势：开源是当今几乎所有应用程序的基础。 只要积极主动地管理和维护，开源本身不会带来风险。但这些分析结果显示，被扫描应用程序中63%的应用程序包含存在至少一个已知安全漏洞的开源软件组件，每个易受攻击的应用程序平均有39个漏洞。虽然具体情况因应 用程序类别而异，但却无一幸免。在所有的18类应用程序中，至少有三分之一的应用程序包含具有已知安全漏洞的应用程序。 已知漏洞 在CyRC使用二进制分析方式进行扫描的3,335个应用程序中，有2,115个包含易受攻击的组件（63%），每个易受攻击的应用程序中平均有39个漏洞。所发现的安全漏洞在所 有这些应用程序中被扫描到总计超过8.2万次。这意味着目前最受欢迎的大多数Android应用都存在某种漏洞，与应用类别（生活，金融等）或其开发者无关。 对于经常使用此类应用程序的消费者而言，这些漏洞的普遍程度不禁让其担心个人信息和安全受到威胁。应用程序所有者（开发者及其公司）同样有此担心，因为他们的企业数据、员工数据、客户数据和声誉都面临风险。 |synopsys.com|5 按应用程序类别划分的调查结果 为了将本报告中标出的令人不安的的漏洞放到合适的场景，CyRC按应用程序类别对扫描结果进行了过滤，揭示出最易受攻击的应用类别。最引人注目的结果是金融、游戏和生产效率应用程序中的漏洞数量—这些都是在新冠疫情期间广受欢迎的应用程序类别。 包含易受攻击组件的被扫描应用程序的百分比（按类别） 最受欢迎免费游戏 最畅销游戏银行类应用程序预算类应用程序支付类应用程序最受欢迎付费游戏最畅销应用程序 最受欢迎免费应用程序生产效率应用程序教育类应用程序教辅类工具 娱乐类应用程序餐饮类应用程序 最畅销交友类应用程序最受欢迎免费交友类应用程序最受欢迎付费应用程序 生活类应用程序健康与健身类应用程序 通过对整个常见漏洞披露（CVE）数据进行分析，最为堪忧的结果来自对金融和银行类应用程序的分析。在被扫描的 107个银行类应用程序中，有94个包含漏洞，即88%，远高于63%的平均值。这些应用中总共被扫描到5,179个漏 洞，相当于每个应用平均包含55个漏洞。鉴于金融类应用需要一些最敏感的个人数据，因此，考虑到安全漏洞的潜在影响，这些数字不禁令人担忧。 |synopsys.com|6 游戏类应用大抵也是这种情形。最畅销游戏和免费游戏在其各自被扫描的257个和288个应用程序中各自总计发现了10,404和9,829个漏洞。这意味着94%的最畅销游戏和96%的最受欢迎免费游戏都包含漏洞。最畅销应用程序和免费应用程序各自平均包含43和35个漏洞。随着游戏在新冠疫情期间的普及度迅速提升，尤其是考虑到更容易轻信他人的青少年游戏受众，这一调查结果引起了人们对在线应用程序的儿童相应级别风险以及泄密事件可能会暴露哪些个人数据的关注。 生产效率应用程序—例如电子表格和文档等个人和专业业务活动类应用程序—的分析结果稍有好转，但基本相同。在被扫描的158个应用程序中，有92个包含漏洞（58%）。这一比例低于总体平均水平，但识别出的4,787个漏 洞这意味着每个易受攻击的应用平均包含有52个漏洞，也是相当高的。因此，这些应用程序还需做一些工作才能确保用户安全。 分析漏洞 除了对诸如本报告之类的报告数据进行研究外，CyRC还于2018年开始发布《BlackDuck安全公告》（BlackDuckSecurityAdvisories，BDSA）。BDSA是经过研究分析的、增强的和扩充处理的极为详细的漏洞记录，旨对开源安全问题提供国家漏洞数据库的内容之外的全面透彻分析。BDSA还提供问题修补和变通的解决方案信息、常见漏洞评分系统得分(CVSS)、漏洞利用信息和常见漏洞枚举(CWE)分类。 为了利用该增强数据来制作本报告，CyRC开展了以具有BDSA记录的漏洞为侧重点的更为详细的漏洞分析—即 2018年之后披露的漏洞。 在对本次移动应用研究中发现的漏洞进行BDSA覆盖评估时，CyRC还发现近四 分之三的漏洞是在2018年之前披露的。也就是说，这些漏洞部分都不是新问题，开发者根本没有考虑过用于构建应用程序的开源组件是否安全。 3,137 CyRC在移动应用程序研究中发现了3,137个不同的漏洞 2,285(73%) 其中2,285个是在两年前披露的 782(25%) 782个漏洞具有BDSA 记录 852(27%) 852个漏洞是在2018 至2021年间披露的 |synopsys.com|7 借助《BlackDuck安全公告》深入探究安全漏洞 通过查看BDSA记录，CyRC发现782个漏洞中有超过94%是可修复的，这意味着受影响的开源组件有安全补丁或更安全的版本可用。782个漏洞中只有5.75%没有已知解决方案。既然如此，企业为何未能修复这些漏洞呢？漏洞修补一直都很重要，应该被开发者视为重中之重。 CyRC所研究的都是高度需求应用程序，这使得它们的安全性变得更加重要。如果不能解决这一问题，那么，最常用的应用程序及其广大用户都将容易受到攻击。虽然我们不可能立即修复应用程序中的所有漏洞，但应优先考虑那些最大可能被利用的漏洞。如想了解这些漏洞为何仍会存在于这些应用程序中，让我们先来看看开发团队修复漏洞前所需信息。 开发团队修复漏洞前所需信息 信息源：与商业软件不同，开源软件需要用户自己去获取补丁，而不是主动将其推送给用户。因此，工作团队需要可靠且多样化的漏洞数据源，将这些信息最好是由他们每天使用的警报系统（如电子邮件、Slack和Teams等）推送到给他们。 脆弱组件的发现